Část obecná:
• Jsou dodržována základní bezpečnostní pravidla.
• Je využit personální firewall s vhodným nastavením a uživatel se je schopen rozhodnout, jaká komunikace je korektní a jaká nikoliv.
• Používají se poslední verze programů, které souvisí (ať už přímo nebo nepřímo) s internetem, odkud v dnešní době přichází nejvíce „havěti“. Pokud budeme hovořit o Internet Exploreru a operačním systému MS Windows, pak by měl uživatel stahovat pravidelně bezpečnostní záplaty např. pomocí služby windows-update.microsoft.com.
Část antivirová:
• Používá se aktuální antivirový systém s poslední aktualizací.
• Antivirový systém je optimálně konfigurován, v provozu je rezidentní štít (on-access skener), kontrola elektronické pošty, automatická aktualizace apod.
• Je prováděna občasná kontrola veškerých dat na pevném disku.
Pokud se budeme bavit o konkrétních metodách proaktivní detekce ve smyslu detekce dosud neznámých virů, pak je v dnešní době k vidění především:
Heuristická analýza
Heuristická analýza je další z mnoha kouzelných termínů, které věrně doprovázejí některé antivirové systémy. V podstatě jde o rozbor kódu a hledání postupů typických pro činnost virů nebo nějak jinak podezřelých.
Heuristická analýza měla odjakživa své zastánce i odpůrce. Zatímco příznivce těšila možnost detekce neznámých virů, odpůrce strašila zvýšená hladina falešných poplachů.
V dnešní době je situace taková, že heuristická analýza je až na několik světlých výjimek (viz níže) v podstatě mrtvou záležitostí. U řady dalších antivirů přežívá heuristická analýza už pouze jako „pojem“ z dob MS-DOS, nikoliv jako metoda detekce. S příchodem Windows se totiž jejich další vývoj často zastavil a v dnešní době, kdy vzniká více méně pouze 32bitová „havěť“ (hostující v souborech PE EXE, resp. je napadající), ztrácí smysl.
Pokud budeme hovořit o výjimkách z výše uvedeného, musíme rozhodně zmínit antivirový systém Norman Virus Control s technolo-
gií Sandbox a Eset NOD32 (Advanced Heuristics), které nabízejí opravdu špičkovou heuristickou detekci i nejnovějších a dosud neznámých virů.
Generická detekce
Také generická detekce dokáže odhalit doposud neznámé viry. Vychází z toho, že řada virů může být v jistých směrech především z hlediska programové struktury podobná. Generickou detekci tak lze uplatnit především při detekci virů z jedné „rodiny“ (v poslední době šlo o viry Win32/Bagle nebo Win32/Netsky) a obecně u trojských koní, které jsou generovány pomocí nějakého nástroje, popř. vznikají po drobné úpravě starších verzi (jako mutace trojanů Agobot, Rbot, Sdbot…). Pokud jde o zcela nový přírůstek, který nebyl vyvíjen na základě již existujícího škodlivého softwaru, jde spíše o práci pro heuristickou analýzu a generická detekce nemusí mít takovou úspěšnost.
Využití obou zmíněných metod může dovést antivirový systém k velice dobrým výkonům, o čemž mohou svědčit i výsledky „Retrospective/ProActive Test“, pravidelně publikované na nezávislém serveru.
Igor Hák pracuje ve společnosti Eset
PŘEDPLATNÉ
ČLÁNKY DO MAILU